Πώς μπορούν να χρησιμοποιηθούν οι υπηρεσίες προσβασιμότητας Android για να χακάρουν το τηλέφωνό σας

Πώς μπορούν να χρησιμοποιηθούν οι υπηρεσίες προσβασιμότητας Android για να χακάρουν το τηλέφωνό σας

Η Υπηρεσία Προσβασιμότητας Android είναι ένα βασικό μέρος για να βοηθήσει τους ηλικιωμένους και τα άτομα με ειδικές ανάγκες να χρησιμοποιούν τα smartphone τους. Ωστόσο, ανοίγει επίσης την πόρτα στους προγραμματιστές κακόβουλου λογισμικού να δημιουργήσουν ύπουλα κακόβουλα προγράμματα καταστρέφει την ημέρα των ανθρώπων.





Ας εξερευνήσουμε την Υπηρεσία προσβασιμότητας Android και πώς μπορεί να χρησιμοποιηθεί για κακόβουλους σκοπούς.





Τι είναι η Υπηρεσία Προσβασιμότητας Android;

Το Android Accessibility Suite επιτρέπει στις εφαρμογές να αναλάβουν τον έλεγχο του τηλεφώνου για την εκτέλεση ειδικών εργασιών. Ο κύριος στόχος είναι να βοηθήσουμε τα άτομα με ειδικές ανάγκες να χρησιμοποιήσουν το τηλέφωνό τους.





Για παράδειγμα, εάν ο προγραμματιστής ανησυχεί ότι τα άτομα με κακή όραση δεν μπορούσαν να διαβάσουν κάποιο κείμενο, μπορούν να χρησιμοποιήσουν την υπηρεσία για να διαβάσουν το κείμενο στον χρήστη.

Η υπηρεσία μπορεί επίσης να εκτελέσει ενέργειες για τον χρήστη και να επικαλύψει περιεχόμενο σε άλλες εφαρμογές. Όλα αυτά προορίζονται να βοηθήσουν τα άτομα να χρησιμοποιήσουν τα τηλέφωνά τους και να επιτρέψουν στους χρήστες με μεγάλο εύρος διαφορετικών αναπηριών να χρησιμοποιούν τις συσκευές τους.



Σημειώστε ότι αυτό είναι διαφορετικό από το Android Accessibility Suite Το Ενώ η Υπηρεσία Προσβασιμότητας είναι για προγραμματιστές που θέλουν να βελτιώσουν τις εφαρμογές τους, το Android Accessibility Suite χρησιμοποιείται για την παροχή εφαρμογών για βοήθεια σε άτομα με ειδικές ανάγκες.

Πώς μπορεί να γίνει κατάχρηση της υπηρεσίας προσβασιμότητας Android;

Δυστυχώς, η παροχή περισσότερου ελέγχου στους προγραμματιστές ενός τηλεφώνου έχει πάντα κακόβουλες δυνατότητες. Για παράδειγμα, η ίδια δυνατότητα που διαβάζει κείμενο στον χρήστη μπορεί επίσης να σαρώσει το κείμενο και να το στείλει στον προγραμματιστή.





είδη χονδρικής προς πώληση χύμα

Ο έλεγχος των ενεργειών των χρηστών και η εμφάνιση περιεχομένου επικάλυψης είναι και τα δύο βασικά στοιχεία για μια επίθεση κλικ. Το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει αυτήν την υπηρεσία για να κάνει κλικ στα κουμπιά για τον εαυτό του, όπως να παραχωρήσει στον εαυτό του δικαιώματα διαχείρισης. Μπορεί επίσης να επικαλύψει περιεχόμενο στην οθόνη και να εξαπατήσει τον χρήστη να κάνει κλικ σε αυτό.

Παραδείγματα κακόβουλης χρήσης της υπηρεσίας προσβασιμότητας Android

Θα μπορούσαμε να μιλήσουμε για τις δυνατότητες κακόβουλου λογισμικού χρησιμοποιώντας την Υπηρεσία προσβασιμότητας Android, αλλά ποιος καλύτερος τρόπος μάθησης από τη χρήση παραδειγμάτων πραγματικού κόσμου; Το ιστορικό κακόβουλου λογισμικού του Android έχει πολλές επιθέσεις που χρησιμοποιούν την Υπηρεσία προσβασιμότητας Android για δικό τους όφελος, οπότε ας εξερευνήσουμε μερικά από τα βαριά χτυπήματα.





Μανδύα και στιλέτο

Μανδύα και στιλέτο ήταν ένα από τα πιο τρομακτικά παραδείγματα αυτού του είδους κακόβουλου λογισμικού. Συνδύασε την Υπηρεσία Προσβασιμότητας με μια υπηρεσία σχεδίασης επικάλυψης για να διαβάσει τα πάντα στο τηλέφωνο ενός χρήστη.

Ο κύριος πονοκέφαλος με την καταπολέμηση του Cloak and Dagger ήταν στην εκτέλεσή του. Χρησιμοποίησε νόμιμες υπηρεσίες Android για να πραγματοποιήσει την επίθεση, γεγονός που του επέτρεψε να περάσει κρυφά antivirus και εντοπισμό. Διευκόλυνε επίσης τους προγραμματιστές να ανεβάζουν μολυσμένες εφαρμογές στο κατάστημα Google Play, καθώς ο έλεγχος ασφαλείας δεν θα επιτευχθεί.

Anubis

Anubis είναι ένα τραπεζικό Trojan που λειτουργεί κλέβοντας τραπεζικά διαπιστευτήρια από χρήστες και στέλνοντάς τα πίσω στον προγραμματιστή. Οι τραπεζικές τρώες είναι από τις δημοφιλείς μεθόδους που χρησιμοποιούν οι χάκερ για να διεισδύσουν σε τραπεζικούς λογαριασμούς Το

Ο Anubis χρησιμοποίησε τις Υπηρεσίες Προσβασιμότητας για να διαβάσει τι πληκτρολογούσαν οι άνθρωποι. Οι τραπεζικοί Τρώες λαμβάνουν συνήθως τις οικονομικές λεπτομέρειες εμφανίζοντας μια πλαστή επικάλυψη που μοιάζει με την τραπεζική εφαρμογή. Αυτό ξεγελά τον χρήστη να εισάγει τα στοιχεία του στην πλαστή τραπεζική επικάλυψη αντί για την επίσημη εφαρμογή.

Ο Anubis παρέλειψε αυτό το βήμα διαβάζοντας αυτό που έχει εισαχθεί στο πληκτρολόγιο. Ακόμα κι αν ο χρήστης φρόντιζε να εισάγει τα στοιχεία του στην πραγματική τραπεζική εφαρμογή, η Anubis θα εξακολουθούσε να λαμβάνει τα στοιχεία τους.

Ginp

Ας εξερευνήσουμε κάτι λίγο πιο πρόσφατο. Ginp είναι ένα Android Trojan που αντλεί έμπνευση από το Anubis. Ενώ περιείχε κώδικα από το Anubis, το πρόγραμμα δεν ήταν τροποποιημένη έκδοση του κακόβουλου λογισμικού προέλευσης. Ο προγραμματιστής το έχτισε από την αρχή, και στη συνέχεια έκλεψε κώδικα από το Anubis για να εκτελέσει συγκεκριμένες λειτουργίες.

Ο Ginp παριστάνει το Adobe Flash Player και μετά ρωτάει τον χρήστη αν θέλει να το εγκαταστήσει. Στη συνέχεια, θα ζητήσει πολλά δικαιώματα, συμπεριλαμβανομένων των Υπηρεσιών Προσβασιμότητας.

Εάν ο χρήστης παραχωρούσε την πλαστή άδεια Flash Player, το Ginp θα χρησιμοποιούσε την υπηρεσία για να παραχωρήσει στον εαυτό του δικαιώματα διαχείρισης. Με αυτά τα προνόμια, θα μπορούσε στη συνέχεια να οριστεί ως η προεπιλεγμένη εφαρμογή τηλεφώνου και SMS. Από εδώ, θα μπορούσε να συλλέξει μηνύματα SMS, να στείλει δικά του μηνύματα, να καθαρίσει τη λίστα επαφών και να προωθήσει κλήσεις.

πώς να ανεβάσετε βίντεο hd στο facebook από την επιφάνεια εργασίας

Για να γίνουν τα πράγματα χειρότερα, ο Ginp πήρε επίσης μια σελίδα από το βιβλίο του Anubis και πέρασε σε τραπεζικές απάτες. Χρησιμοποιεί τις Υπηρεσίες Προσβασιμότητας για να επικαλύψει μια σελίδα σύνδεσης τραπεζών στη σελίδα της επίσημης εφαρμογής, η οποία στη συνέχεια συλλέγει τα στοιχεία σύνδεσης του χρήστη και τα στοιχεία της πιστωτικής κάρτας.

Τι κάνει η Google για να υπερασπιστεί τους χρήστες;

Όταν η Υπηρεσία Προσβασιμότητας έπεσε στα χέρια προγραμματιστών κακόβουλου λογισμικού, η Google προσπάθησε να σταματήσει την κακή χρήση. Πίσω στο 2017, έστειλαν ένα email στους προγραμματιστές δηλώνοντας ότι οι εφαρμογές που δεν χρησιμοποιούν την υπηρεσία για να βοηθήσουν άτομα με ειδικές ανάγκες θα διαγραφούν αμέσως.

Δυστυχώς, αυτό δεν είχε σταματήσει τα άτομα που ανεβάζουν μολυσμένες εφαρμογές. Στην πραγματικότητα, λόγω της φύσης της χρήσης επίσημων υπηρεσιών, είναι αρκετά δύσκολο να παρατηρήσουμε κακή χρήση προσβασιμότητας.

Οι εφαρμογές σε καταστήματα τρίτων δεν πάνε καλά. Η Google σαρώνει την υπηρεσία Google Play για παραβίαση εφαρμογών και διαγράφει οτιδήποτε βρει. Τα καταστήματα τρίτων, ωστόσο, δεν έχουν αυτήν την πολυτέλεια. Αυτό σημαίνει ότι οι εφαρμογές σε καταστήματα τρίτων μπορούν να κάνουν κακή χρήση των Υπηρεσιών Προσβασιμότητας όσο θέλουν χωρίς ανίχνευση.

Πώς να αποφύγετε το κακόβουλο λογισμικό των υπηρεσιών προσβασιμότητας Android

Όταν εγκαθιστάτε μια εφαρμογή στο Android, μερικές φορές βλέπετε μια λίστα δικαιωμάτων που θέλει να χρησιμοποιήσει η εφαρμογή. Υπάρχουν προφανείς κόκκινες σημαίες για να εντοπίσετε, όπως μια εφαρμογή λήψης σημειώσεων που ζητά τον πλήρη έλεγχο των μηνυμάτων SMS σας.

Ωστόσο, όταν μια εφαρμογή ζητά πρόσβαση στις υπηρεσίες προσβασιμότητας, δεν φαίνεται πολύ ύποπτη. Τελικά, τι γίνεται αν η εφαρμογή διαθέτει επιπλέον δυνατότητες για να βοηθήσει τα άτομα με ειδικές ανάγκες; Είναι μια άδεια που οι χρήστες αισθάνονται ασφαλείς λέγοντας ναι, η οποία μπορεί να προκαλέσει προβλήματα εάν η εφαρμογή έχει κακόβουλη πρόθεση.

Ως εκ τούτου, να είστε προσεκτικοί με τα δικαιώματα υπηρεσίας προσβασιμότητας. Εάν τα ζητήσει μια ιογενής εφαρμογή με υψηλή βαθμολογία, είναι ασφαλές να υποθέσουμε ότι βοηθά τα άτομα με ειδικές ανάγκες. Ωστόσο, εάν μια σχετικά νέα εφαρμογή με ελάχιστες κριτικές τα ζητήσει εκ των προτέρων, ίσως είναι καλύτερο να είστε προσεκτικοί και να μην προχωρήσετε με την εγκατάσταση.

Επίσης, χρησιμοποιήστε το επίσημο κατάστημα εφαρμογών όσο το δυνατόν συχνότερα. Ενώ οι επιθέσεις προσβασιμότητας είναι δύσκολο να εντοπιστούν, η Google θα διαγράψει τυχόν εφαρμογές που έχουν συλληφθεί. Ωστόσο, καταστήματα τρίτων μπορεί να αφήσουν αυτές τις εφαρμογές να παραμείνουν στο κατάστημά τους καθώς μολύνει όλο και περισσότερους χρήστες.

Προστασία του τηλεφώνου σας από κατάχρηση άδειας

Μπορεί να φαίνεται αρκετά αθώο για να δώσει σε μια εφαρμογή πρόσβαση σε υπηρεσίες αναπηρίας, αλλά τα αποτελέσματα μπορεί να είναι κάθε άλλο παρά. Οι κακόβουλες εφαρμογές μπορούν να χρησιμοποιούν τις Υπηρεσίες προσβασιμότητας του Android για να παρακολουθούν τι πληκτρολογείτε, να εμφανίζουν επικαλύψεις για να ξεγελάσουν τους ανθρώπους και ακόμη να τους παραχωρήσουν υψηλότερη πρόσβαση. Εάν ανησυχείτε, εδώ είναι πώς να ελέγξετε αν το Android σας έχει παραβιαστεί Το

Ενδιαφέρεστε για άλλες επιλογές προσβασιμότητας; Να γιατί η προσβασιμότητα είναι σημαντική για βιντεοπαιχνίδια.

Εάν θέλετε να μάθετε περισσότερα σχετικά με την κατάχρηση δικαιωμάτων κακόβουλου λογισμικού, ελέγξτε το δικαιώματα εφαρμογής smartphone που πρέπει να ελέγξετε σήμερα Το

Μερίδιο Μερίδιο Τιτίβισμα ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ 3 τρόποι για να ελέγξετε αν ένα email είναι πραγματικό ή ψεύτικο

Εάν έχετε λάβει ένα email που φαίνεται λίγο αμφίβολο, είναι πάντα καλύτερο να ελέγχετε την αυθεντικότητά του. Ακολουθούν τρεις τρόποι για να διαπιστώσετε εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου είναι πραγματικό.

μπορείτε να εγκαταστήσετε το linux σε ένα chromebook
Διαβάστε Επόμενο Σχετικά θέματα
  • Android
  • Ασφάλεια
  • Smartphone Security
  • Google Play
  • Προσιτότητα
  • Clickjacking
Σχετικά με τον Συγγραφέα Σάιμον Μπατ(693 δημοσιευμένα άρθρα)

Απόφοιτος BSc Πληροφορικής με βαθύ πάθος για την ασφάλεια όλων των πραγμάτων. Αφού εργάστηκε για ένα στούντιο παιχνιδιών indie, βρήκε το πάθος του για τη συγγραφή και αποφάσισε να χρησιμοποιήσει το σύνολο δεξιοτήτων του για να γράψει για όλα τα πράγματα της τεχνολογίας.

Περισσότερα από τον Simon Batt

Εγγραφείτε στο newsletter μας

Εγγραφείτε στο ενημερωτικό μας δελτίο για τεχνικές συμβουλές, κριτικές, δωρεάν ebooks και αποκλειστικές προσφορές!

Κάντε κλικ εδώ για εγγραφή